jessica
-
Postów
4 099 -
Dołączył
-
Ostatnia wizyta
Odpowiedzi opublikowane przez jessica
-
-
komputer resetował się w nieskończoność po dotarciu do momentu ładowania Windowsa, dopiero przytrzymanie przycisku zasilania i normalne włączenie pomogło.
Mam nadzieję, że to był jednostkowy przypadek, i takie resety nie będą się powtarzały!
jessi
-
Ten plik był zainstalowany razem z netupdsrv.exe, i dwoma innymi plikami, Usuniemy ich usługi.
Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:
:OTL
MOD - [2014-06-16 14:04:30 | 000,162,304 | ---- | M] () -- C:\WINDOWS\system32\netupdsrv.exe
MOD - [2014-06-16 14:04:10 | 000,179,200 | ---- | M] () -- C:\WINDOWS\system32\nethtsrv.exe
SRV - [2014-06-16 14:04:30 | 000,162,304 | ---- | M] () [Auto | Running] -- C:\WINDOWS\system32\netupdsrv.exe -- (ServiceUpdater)
SRV - [2014-06-16 14:04:10 | 000,179,200 | ---- | M] () [Auto | Running] -- C:\WINDOWS\system32\nethtsrv.exe -- (NetHttpService)
DRV - [2014-06-16 14:04:40 | 000,049,152 | ---- | M] () [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\nethfdrv.sys -- (nethfdrv)
DRV - File not found [Kernel | On_Demand | Stopped] -- D:\Program Files\A-FF Find and Mount\slicedisk.sys -- (SliceDisk5)
:Commands
[emptytemp]
Kliknij w Wykonaj Skrypt.jessi
-
Użyj Sality Remover/rmsality>http://www.softpedia.com/progDownload/Win32-Sality-Remover-Download-105925.html
Link zapasowy >http://www.mediafire.com/?7lu3v8crhc9s8zcjessi
-
Wygląda na to, że pomogło (wyłączenie z autostartu). Wielkie dzięki za pomoc.
ale co wyłączyłeś z Autostartu?
czy może te nethfdrv.sys i netupdsrv.exe?
Jeśli tak, to trzeba będzie usunąć także ich usługi.
jessi
-
W nowych logach nie widzę już niczego "podpadającego", więc @Picasso tu raczej nie będzie potrzebowała zaglądać.
Kończymy:
Otwórz Notatnik i wklej w nim:
DeleteQuarantine:
Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix.
przez SHIFT+DEL usuń pozostały folder C:\FRSTjessi
-
Ja w nowym logu nie widzę już niczego podejrzanego (nie licząc tych sprawdzanych na Jotti)
Dzisiejszy skan jednego z tych plików:
http://www.herdprotect.com/nethfdrv.sys-6c144fa7161e91e5cda10b6712d242eb6c45a3c3.aspx
Nie wiem, kiedy tu zajrzy @Picasso.
jessi
-
Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:
:OTL
[2014-06-20 11:06:38 | 000,000,000 | ---D | C] -- C:\Documents and Settings\hp\Dane aplikacji\Systweak
O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found
[2014-06-20 11:06:38 | 000,000,000 | ---D | C] -- C:\Program Files\RichMediaViewV1
[2014-06-20 11:06:38 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Dane aplikacji\APN
[2014-06-20 11:06:38 | 000,000,000 | ---D | C] -- C:\Documents and Settings\hp\Dane aplikacji\41
[2014-06-20 11:06:38 | 000,000,000 | ---D | C] -- C:\Documents and Settings\hp\Menu Start\Programy\SmartTweak Software
[2014-06-05 18:34:42 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Dane aplikacji\FZf6k4QZguJ
[2013-12-15 23:19:46 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\InstallMate
:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
:Commands
[emptytemp]
Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem.jessi
-
@Picasso teraz pomaga tylko 2-3 razy w miesiącu, czyli średnio co 12 dni.
Otwórz Notatnik i wklej w nim:
HKU\S-1-5-21-2612925166-1525020595-3053403785-1000\...\Run: [RegistryMechanic] => C:\Program Files (x86)\Registry Mechanic\RMTray.exe /H
R1 {8ce1c375-1e13-43f7-a4fd-6530f47c4fde}Gw64; C:\Windows\System32\drivers\{8ce1c375-1e13-43f7-a4fd-6530f47c4fde}Gw64.sys
C:\Windows\System32\drivers\{8ce1c375-1e13-43f7-a4fd-6530f47c4fde}Gw64.sys
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-21-2612925166-1525020595-3053403785-1000\Software\Microsoft\Internet Explorer\SearchScopes" /f
C:\Users\Misa\AppData\Local\Temp\AcDeltree.exe
C:\Users\Misa\AppData\Local\Temp\t.dll
Reboot:Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Daj ten log.
Zrób nowe logi z FRST - już bez Shortcut
jessi
-
czyli zostawiamy te pliki w spokoju.
Co do Bing: chyba da się ustawić w przeglądarce, by domyślną wyszukiwarką było Google, a nie Bing.
jessi
-
Wg mnie - jest już OK.
Oczywiście może jeszcze tu zajrzy @Picasso, ale nie wiem kiedy.
jessi
-
@Picasso teraz pomaga tylko 2-3 razy w miesiącu, czyli średnio co 12 dni.
Bing jest wyszukiwarką Microsoftu, zainstalowaną razem z Systemem.
C:\WINDOWS\system32\drivers\nethfdrv.sys
C:\WINDOWS\system32\netupdsrv.exe
Sprawdź te pliki na --> JOTTI/ albo na VIRUSTOTAL
Nie mają żadnej sygnatury.
jessi
-
O4 - HKU\.DEFAULT..\RunOnce: [{90150000-001A-0415-1000-0000000FF1CE}] C:\Windows\SysWow64\cmd.exe (Microsoft Corporation)
O4 - HKU\.DEFAULT..\RunOnce: [{90150000-001B-0415-1000-0000000FF1CE}] C:\Windows\SysWow64\cmd.exe (Microsoft Corporation)
O4 - HKU\.DEFAULT..\RunOnce: [{90150000-006E-0415-1000-0000000FF1CE}] C:\Windows\SysWow64\cmd.exe (Microsoft Corporation)
O4 - HKU\.DEFAULT..\RunOnce: [{90150000-00BA-0415-1000-0000000FF1CE}] C:\Windows\SysWow64\cmd.exe (Microsoft Corporation)
O4 - HKU\.DEFAULT..\RunOnce: [{90150000-012B-0415-1000-0000000FF1CE}] C:\Windows\SysWow64\cmd.exe (Microsoft Corporation)
O4 - HKU\S-1-5-18..\RunOnce: [{90150000-001A-0415-1000-0000000FF1CE}] C:\Windows\SysWow64\cmd.exe (Microsoft Corporation)
O4 - HKU\S-1-5-18..\RunOnce: [{90150000-001B-0415-1000-0000000FF1CE}] C:\Windows\SysWow64\cmd.exe (Microsoft Corporation)
O4 - HKU\S-1-5-18..\RunOnce: [{90150000-006E-0415-1000-0000000FF1CE}] C:\Windows\SysWow64\cmd.exe (Microsoft Corporation)
O4 - HKU\S-1-5-18..\RunOnce: [{90150000-00BA-0415-1000-0000000FF1CE}] C:\Windows\SysWow64\cmd.exe (Microsoft Corporation)
O4 - HKU\S-1-5-18..\RunOnce: [{90150000-012B-0415-1000-0000000FF1CE}] C:\Windows\SysWow64\cmd.exe (Microsoft Corporation)
Zastanawiają mnie te powyższe wpisy: dlaczego OUTLOK jest uruchamiany z cmd.exe?
Ale to tylko tak na marginesie.
Kosmetyka:
Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:
:OTLO3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Java Plug-in 10.55.2)
O16 - DPF: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Java Plug-in 1.6.0_17)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Java Plug-in 10.55.2)
O4 - Startup: C:\Users\Asia2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Intel® Turbo Boost Technology Monitor 2.6.lnk = File not found
O4 - Startup: C:\Users\Andrzej\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Intel® Turbo Boost Technology Monitor 2.6.lnk = File not found
O4 - HKU\S-1-5-21-1421780191-1612272779-1516696035-1006..\RunOnce: [uninstall C:\Users\Czarek\AppData\Local\Microsoft\SkyDrive\17.0.2015.0811_1\amd64] C:\Windows\system32\cmd.exe /q /c rmdir /s /q "C:\Users\Czarek\AppData\Local\Microsoft\SkyDrive\17.0.2015.0811_1\amd64" File not found
O4 - Startup: C:\Users\Andrzej\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Intel® Turbo Boost Technology Monitor 2.6.lnk = File not found
:Reg
[HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-21-1421780191-1612272779-1516696035-1006\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
:Commands
[emptytemp]
Kliknij w Wykonaj Skrypt.
Potem możesz czekać, aż @Picasso tu zajrzy (nie wiem kiedy)
jessi
-
Co robi ten skrypt?
i dlaczego jest tam fragment
?
Skrypt usuwa pliki, usługi, klucze, które są na nim napisane.
"start.qone8.com" - to szkodliwa strona, więc oczywiście jest do usunięcia.
jessi
-
C:\Users\Czarek\AppData\Roaming\Origin\update.vbe [2014-04-25] () <==== ATTENTION
Jest fałszywy "Origin".
Otwórz Notatnik i wklej w nim:
Task: {87E8E90A-0995-481F-9B4D-C89C1D0905BA} - System32\Tasks\GoogleUpdateTaskUserS-1-5-21-1970835742GUI => C:\Users\Czarek\AppData\Roaming\aerix\googleupd.exe <==== ATTENTIONTask: {8D23B0CA-AF84-4B6C-B27F-0F830464FAE2} - System32\Tasks\Origin => C:\Users\Czarek\AppData\Roaming\Origin\update.vbe [2014-04-25] () <==== ATTENTION
C:\Windows\Temp\svchost.exe
C:\Users\Czarek\AppData\Roaming\Origin\update.vbe
C:\Users\Czarek\AppData\Roaming\Origin
C:\Users\Andrzej\AppData\Local\Temp\2m9s0v8j.dll
C:\Users\Andrzej\AppData\Local\Temp\msuqryvm.dll
C:\Users\Andrzej\AppData\Local\Temp\tpyvi-dt.dll
C:\Users\Andrzej\AppData\Local\Temp\zgpflnbq.dll
Reboot:
Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Daj ten log.
Zrób nowe logi z FRST - już bez Shortcut.
jessi
-
PRC - [2014-06-20 08:33:58 | 000,645,646 | ---- | M] () -- C:\Windows\Temp\svchost.exe
PRC - [2014-06-20 08:33:58 | 000,645,646 | ---- | M] () -- C:\Windows\Temp\svchost.exe
PRC - [2014-06-20 08:33:58 | 000,645,646 | ---- | M] () -- C:\Windows\Temp\svchost.exe
PRC - [2014-06-20 08:33:58 | 000,645,646 | ---- | M] () -- C:\Windows\Temp\svchost.exe
Zrób logi z FRST (zresztą są tu wymagane!). https://www.fixitpc.pl/topic/61-diagnostyka-og%C3%B3lne-raporty-systemowe/?do=findComment&comment=119294
@Picasso teraz pomaga tylko 2-3 razy w miesiącu, czyli średnio co 12 dni.
jessi
-
Po co mam tę Omige wszedzie ustawiać?
nie rozumiem pytania ...
jessi
-
Win32 sality
Na SALITY ComboFix nic nie pomoże.
Ale nie jestem pewna, czy naprawdę były takie infekcje,
Może to były pomyłkowe wykrycia Antywirusa?
Użyj Sality Killer -->http://support.kaspersky.com/downloads/utils/salitykiller.exe
Link zapasowy, gdyby wirus zablokował stronę narzędzia: > http://www.mediafire.com/?5e3b0870wm7xefk
Napisz, czy też wykrył SALITY?
jessi
-
mniej więcej powinno to wyglądać tak:
DeQuarantine::
C:\Qoobox\Quarantine\C\ścieżka\Jakiś folder
C:\Qoobox\Quarantine\C\ścieżka\Jakiś folder\Jakiś plik.vir>>Plik>>Zapisz jako... >>> CFScript
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe
-------->jessi
-
@Picasso teraz pomaga tylko 2-3 razy w miesiącu, czyli średnio co 12 dni.
W logach nie widzę niczego podejrzanego.
Wg mnie - to problem sprzętowy.
jessi
-
Ja w logach nie widzę żadnej infekcji; zresztą nie sądzę, by problem mógł mieć cokolwiek wspólnego z infekcją.
Wg mnie ten temat powinien być napisany w dziale https://www.fixitpc.pl/forum/8-windows-7/
jessi
-
Moje pytanie jest takie czy można jakoś przy pomocy Combofixa przywrócić te pliki, a nie ręcznie?
Owszem, można, ale potrzebny jest log z tego skanowania, gdy ComboFix usuwał.
Dałeś tylko log z zeszłego roku.
jessi
-
Na liście Twoich programów jeszcze jest MyFreeCodec - odinstaluj go, a jeśli pojawi się pytanie, czy tylko usunąć z listy, to zgódź się.
Poza tym w tych logach nie widzę niczego więcej podejrzanego.
Tak więc teraz czekaj na @Picasso (nie wiem, kiedy tu zajrzy, i czy w ogóle zajrzy)
jessi
-
czy zaznaczyć addition i shortcut ?
Addition - tak,
Shorcut - nie widzę potrzeby
Ale to oczywiście dopiero przy robieniu nowych logów, a nie przy usuwaniu.
jessi
-
@Picasso teraz pomaga tylko 2-3 razy w miesiącu, czyli średnio co 12 dni.
Do czasu uzyskania od Niej konkretnej pomocy, możesz zrobić przynajmniej to:
1) Odinstaluj:
MyFreeCodec
2) Użyj >Adw-cleaner
najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner\AdwCleaner.txt3) Otwórz Notatnik i wklej w nim:
Task: {47119165-CEC4-457D-BF7D-7A88C1294869} - System32\Tasks\Scheduled Update for Ask Toolbar => C:\Program Files (x86)\Ask.com\UpdateTask.exe <==== ATTENTION
Task: {59D1D99A-4497-42EC-A791-7E50AE09EEF4} - System32\Tasks\DealPly => C:\Users\Admin\AppData\Roaming\DealPly\UPDATE~1\UPDATE~1.EXE <==== ATTENTION
Task: {C38D9860-B807-40F3-A07D-D3960A4ACEB9} - System32\Tasks\EPUpdater => C:\Users\Admin\AppData\Roaming\BABSOL~1\Shared\BabMaint.exe <==== ATTENTION
GroupPolicyUsers\S-1-5-21-615732166-2090531956-1015574816-1005\User: Group Policy restriction detected <======= ATTENTION
Toolbar: HKLM - No Name - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File
Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - No File
FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\safeguard-secure-search.xml
FF Extension: Greener Web - C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\4n6z4xga.default\Extensions\{a3f28269-ad17-41a8-b032-3e0313ef8979}.xpi
FF Plugin HKCU: @tools.google.com/Google Update;version=3 - C:\Users\Admin\AppData\Local\Google\Update\1.3.21.153\npGoogleUpdate3.dll No File
FF Plugin HKCU: @tools.google.com/Google Update;version=9 - C:\Users\Admin\AppData\Local\Google\Update\1.3.21.153\npGoogleUpdate3.dll No File
R1 {a3f28269-ad17-41a8-b032-3e0313ef8979}Gw64; C:\Windows\System32\drivers\{a3f28269-ad17-41a8-b032-3e0313ef8979}Gw64.sys [61120 2014-06-16] (StdLib)
C:\Windows\System32\drivers\{a3f28269-ad17-41a8-b032-3e0313ef8979}Gw64.sys
C:\Users\Admin\AppData\Local\Temp\nv3DVStreaming.dll
C:\Users\Admin\AppData\Local\Temp\nvSCPAPI.dll
C:\Users\Admin\AppData\Local\Temp\nvStereoApiI.dll
C:\Users\Admin\AppData\Local\Temp\nvStInst.exe
C:\Users\Admin\AppData\Local\Temp\ose00001.exe
Reboot:
Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Daj ten log.4) Zrób nowe logi z FRST.
jessi
Avast raportuje: Zarażenie URL:Mal
w Dział pomocy doraźnej
Opublikowano
@Picasso teraz pomaga tylko 2-3 razy w miesiącu, czyli średnio co 12 dni.
1) Odinstaluj:
StartNow Toolbar (HKLM\...\StartNow Toolbar) (Version: 2.5.0 - StartNow.com) <==== ATTENTION
Ask Toolbar (HKLM\...\{86D4B82A-ABED-442A-BE86-96357B70F4FE}) (Version: 1.15.4.0 - Ask.com) <==== ATTENTION
Ask Toolbar Updater (HKCU\...\{79A765E1-C399-405B-85AF-466F52E918B0}) (Version: 1.2.2.23821 - Ask.com) <==== ATTENTION
2) Użyj >Adw-cleaner
najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner\AdwCleaner.txt
3) Zrób nowe logi
jessi